加密挖掘恶意软件的利润有多大？Max Heinemeyer，Threat Hunting的主管，2018年4月16日星期一，最近几个月最热门的恶意软件趋势之一是加密挖掘恶意软件的迅猛增长。在各种加密货币中，用于非法采矿活动的最突出的恶意软件是Monero，这是一种可以在笔记本电脑和工作站等商品硬件上进行盈利挖掘的加密货币。此外，最近观察到的一个相关趋势是横向移动的恶意软件，云服务器租用，顾名思义，它在设备之间移动，以各种不同的方式执行其有效负载。这种恶意软件用于WannaCry、NotPetya和BadRabbit等攻击，云服务市场，淘客返利app，使用勒索软件加密硬盘，如何成为淘客，同时部署Monero矿工。由于Darktrace定期检测网络上发生的加密挖掘尝试，我们可以估计网络犯罪分子通过Darktrace识别的横向移动Monero miner感染获得的现金流。它是怎么开始的上个月，一个客户的设备——我们称之为"零号病人"——感染了一台Monero miner。不久之后，零号病人开始通过扫描内部网络寻找端口445上的设备来寻找可访问的SMB驱动器。由于设备过去没有进行任何网络扫描活动，Darktrace将该过程标记为异常网络扫描和异常SMB枚举：网络扫描（设备名称已编辑）一旦患者0识别出可访问的IPC$、ADMIN$或C$SMB驱动器，它就会将一个可执行文件传输到该驱动器。文件传输后，恶意软件使用PsExec连接到设备并执行恶意软件。由于零号患者以前没有进行任何SMB驱动器写入，也没有以这种方式使用PsExec，因此立即发出警报：横向移动（设备名称已编辑）扩散和遏制现在被感染的设备开始挖掘Monero，并试图通过Tor2Web与指挥与控制（C2）服务器进行通信：C2通信（设备名称已修订）安全小组使用Darktrace在几分钟内确认了感染，什么是云，并在不到一小时内评估了感染的完全程度。在最初发现的三个小时内，安全小组在他们的网络上运行了一个清理脚本，阻止了传播。收入估算我们已经估计了这次攻击的假设收入。为了降低挖掘的可检测性，一些当前的Monero挖掘恶意软件对可使用的线程数和最大CPU使用容量进行了限制。因此，我们在最坏情况下估计了以下数字。我们知道有300台机器被感染，莫内罗矿工们已经运行了大约4个小时。挖掘的盈利能力通常以每CPU核心或GPU每秒计算的散列量来衡量。这个数字称为每秒散列数（H/S），根据所用硬件的不同而不同。对于用于挖掘Monero的CryptoNight算法，单个CPU上H/S比例下限的一个常见数字是20 H/S。gpu是加密之夜算法的更有效的处理器，可以产生2-3倍于cpu的H/S速率。根据最坏的情况，我们假设所有受感染的设备只有2个CPU核心，没有GPU，这意味着单个受感染的机器的速度为40小时/秒。这导致我们得出以下计算结果：300个受感染设备x 40个小时/秒=12000小时/秒。Monero矿业收入计算工具得出了以下结果：如果感染时Monero的价格为202.43美元（不考虑电费），罪犯在24小时内将获得大约15.85美元的收入。由于矿工只跑了大约4个小时，因此产生的收入只有2.64美元。那么这是如何盈利的呢？这是一个数字游戏加密货币的开采作业设计为持续数月，而不是数小时。如果这种感染没有被发现，罪犯每天将获得15.85美元，或每月475.62美元。此外，网络更大的受害者更不可能注意到感染。由于传播此类恶意软件的攻击通常是不分青红皂白的，它们通常会同时攻击数千个组织，使它们能够生成远远超过一半的美元。最大值HeinemeyerMax是一位在该领域拥有超过九年经验的网络安全专家，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件